Vercel Sandbox Firewall unterstützt jetzt Postgres-Verbindungen
Vercel Sandboxes verwenden eine SNI-basierte Firewall, die ausgehenden Netzwerkverkehr anhand des Domain-Namens während des TLS-Handshakes filtert. Dieses Verfahren funktioniert reibungslos bei HTTPS, scheiterte aber bisher bei Postgres: Postgres-Clients öffnen zunächst eine unverschlüsselte TCP-Verbindung und upgraden erst danach auf TLS, weshalb der Domain-Name beim ersten Firewall-Check noch nicht verfügbar ist. Die aktualisierte Sandbox-Firewall erkennt nun die Postgres-Startsequenz, wartet auf das TLS-Upgrade und wendet erst dann die konfigurierten Domain-Regeln an. Unterstützt werden Neon, Supabase, AWS RDS, Nile und Prisma Postgres. Voraussetzung ist TLS (sslmode=require oder höher); GSSAPI-Verschlüsselung wird nicht unterstützt. IP-Range-Regeln bleiben als Fallback für Datenbanken ohne TLS-Support verfügbar. Nutzer müssen lediglich den Datenbank-Host in den erlaubten Domains der Sandbox eintragen – keine Code- oder DB-seitigen Änderungen notwendig.
- Unterstützte Anbieter: Neon, Supabase, AWS RDS, Nile, Prisma Postgres
- Firewall erkennt Postgres-Startup-Sequenz und wartet auf TLS-Upgrade vor der Domain-Prüfung
- TLS ist Pflicht: sslmode=require oder höher; sslmode=prefer fällt automatisch auf TLS zurück
- GSSAPI-Verschlüsselung (gssencmode=require) wird nicht unterstützt und schlägt fehl
- Für Datenbanken ohne TLS-Support kann alternativ eine IP-Range-Regel konfiguriert werden
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
Vercel Sandbox Firewall unterstützt jetzt Postgres-Verbindungen
Vercel Sandboxes verwenden eine SNI-basierte Firewall, die ausgehenden Netzwerkverkehr anhand des Domain-Namens während des TLS-Handshakes filtert. Dieses Verfahren funktioniert reibungslos bei HTTPS, scheiterte aber bisher bei Postgres: Postgres-Clients öffnen zunächst eine unverschlüsselte TCP-Verbindung und upgraden erst danach auf TLS, weshalb der Domain-Name beim ersten Firewall-Check noch nicht verfügbar ist. Die aktualisierte Sandbox-Firewall erkennt nun die Postgres-Startsequenz, wartet auf das TLS-Upgrade und wendet erst dann die konfigurierten Domain-Regeln an. Unterstützt werden Neon, Supabase, AWS RDS, Nile und Prisma Postgres. Voraussetzung ist TLS (sslmode=require oder höher); GSSAPI-Verschlüsselung wird nicht unterstützt. IP-Range-Regeln bleiben als Fallback für Datenbanken ohne TLS-Support verfügbar. Nutzer müssen lediglich den Datenbank-Host in den erlaubten Domains der Sandbox eintragen – keine Code- oder DB-seitigen Änderungen notwendig.
- Unterstützte Anbieter: Neon, Supabase, AWS RDS, Nile, Prisma Postgres
- Firewall erkennt Postgres-Startup-Sequenz und wartet auf TLS-Upgrade vor der Domain-Prüfung
- TLS ist Pflicht: sslmode=require oder höher; sslmode=prefer fällt automatisch auf TLS zurück
- GSSAPI-Verschlüsselung (gssencmode=require) wird nicht unterstützt und schlägt fehl
- Für Datenbanken ohne TLS-Support kann alternativ eine IP-Range-Regel konfiguriert werden
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.